начался второй багс зон, а это значит, что со сном в ближайшие дни можно уверенно попрощаться 🙈 на текущий момент, хантеры сдали больше 100 отчетов по всем программам (старт начался меньше 24 часов назад).

если честно, я представлял себе это немного по другому. в итоге получается бешенная конкуренция, кто успел того и тапки. да, простых багов много и они на поверхности, но это не факт что ты сдашь их первый )

на текущий момент я сдал 3 репорта за которых дать могут максимум медиум (если они конечно не будут дубликатами). в процессе находил еще парочку, но после находил чужие пейлоады и смысл репортить такое пропадал.

открылся еще не весь скоуп, надеюсь найти что-то стоящее.

кто следил за премией могли заметить, что призовое место я не занял. я смотрел трансляцию и кейсы победителей были действительно очень крутые.

вообщем я думал что я где-то далеко в конце списка и набрал не очень много баллов, пока не увидел статью на хабре от организаторов.

я занял 5-ое место и совсем чуть чуть не дотянул до призового. и обидно и приятно одновременно было видеть себя именно там оказавшись выше по позиции в скорборде среди топовых хакеров-участников.

p.s. скоро будет год как я участвую в баг баунти, а еще половина багзона уже прошла. будет немного статистики – выплаты, баги и еще кое что.

официально дно пробито 🤝

прошел ровно год, как я начал участвовать в багбаунти и кажется пришло время подвести итоги.

я возвращался с OFFZONE 2023, где все кругом говорили про багбаунти. никакого опыта в веб-пентестах у меня не было (пару лет назад я играл в CTF), но я все таки решил попробовать себя. как итог – сдал первую багу, пока ехал в сапсане. никаких баунти я за это конечно же не получил. я понял, что мне не хватает опыта и практики. найти что-то сложное не получалось, поэтому репортил все подряд и получал informative)) лишь изредка получалось найти что-то прикольное, но самая большая выплата на тот момент была не больше 25к.

шло время, я смотрел доклады, читал открытые репорты от топовых багхантеров и кажется стал что-то понимать. меня начали добавлять в приватки. после этого по немногу пошло. поучаствовал во втором багзоне.

общая сумма выплат ну никак не тянет на годовую зп, но как приятный бонус вполне себе (road to ipoteka в прямом смысле). заоблачные цели загадывать не будем, но попасть в топ-3 какого-нибудь квартала думаю можно себе пожелать )

всего 17 принятых репортов, критичность к сожалению раскрывать нельзя, но по суммам выплат можно догадаться какой там порядок

ещё завершился 4-х недельный пентест проект инфраструктуры (и кубера) очень большой и всем известной компании. в результате мне удалось полностью получить контроль над стейдж окружением и дотянуться до некоторых критичных продовых сервисов.

в следующих постах постараюсь немного приоткрыть вектора, которые я использовал и критичные мисконфиги которые допустили инженеры компании.

разбавлю затишье на канале небольшой новостью. совсем недавно принял участие в подкасте со своими хорошими знакомыми, и вот он в сети:

https://news.1rj.ru/str/safecode_channel/74

+1 есть

протриажили относительно быстро

29 ноября сдал репорт, 6 декабря получил инфу о том что протриажено

начинаем этот год с истории, которая началась грустно, но закончилась вполне себе ок.

есть сервис, где можно загружать и просматривать различные файлы, в том числе pdf. за рендер pdf отвечает библиотека pdf.js, она была уязвимой версии. PoC публично доступен и можно скрафтить файл, который приведет к xss. я создаю такой файл, кидаю ссылку на него в отчет и мне прилетает информатив 🙁

вендор пишет что это скриптинг в pdf доках и такое они не принимают. очевидно, что человек который триажил отчет даже не удосужился прочитать его до конца, а просто увидел тригерные слова XSS PDF и проставил информатив.

спустя несколько попыток достучаться до вендора в личку и закидать пруфами в отчет, его перевели в медиум.

суть истории такова – если вы знаете что правы, стойте на своем до конца и заберите эти 100 баксов

Вышла моя долгожданная статья по мотивам одного прошлогоднего пентеста. её я без при увеличения писал месяц, это был(о) тяжело

внутри вас ждет:

- небольшое погружение для того чтобы понять как видеокарты могут работать с контейнерами
- раскур патча и сорцов на C
- написание боевого сплойта

https://luntry.ru/lomaem-vashi-videokarty-raspakovka-eksplojta-dlya-cve-2024-0132-pod-nvidia-container-toolkit

История, уходящая больше чем на полгода назад, заиграла новыми красками.

Тогда я сдал несколько багов через Bug Bounty платформу в одном российском средстве виртуализации. Хотелось получить CVE (или хотя бы BDU), т.к баги были найдены в вендорском продукте, но любые попытки сделать это не привели к успеху.

И тут я увидел новость – эти ребята прошли сертификацию по ФСТЭКу, а значит у меня появился легальный способ получить BDU, зарепортив баги с багбаунти напрямую во ФСТЭК. Что я и сделал.

Как итог - мой первый(ая?) BDU – BDU:2025-02510 🤟💪

Кстати весь процесс общения с регулятором занял неделю, что на мой взгляд круто. Триаж даже побыстрее некоторых баг баунти програм.

P.S. – Я всё ещё жду назначения CVE в нескольких западных вендорских продуктах 🥲

P.P.S – Я заслал во ФСТЭК ещё три бага в этом же продукте

Продолжаю изучать дивный мир БДУ ФСТЭК.

Вы знали что у них есть собственный рейтинг исследователей? Я – нет.

Кроме того, есть довольно интересный порядок определения рейтинга исследователей, предоставивших сведения об уязвимостях программного обеспечения. Есть несколько критериев, но я отмечу эти два:

1) Показатель, характеризующий объект исследований (Т) – за встроенное программное (микропрограммное) обеспечение можно получить 10 баллов, за ПО для АСУ ТП только 7, а ща прикладное ПО 5.

2) Показатель, характеризующий алгоритм проверки уязвимости и подтверждающие материалы (P) – Разработан PoC или представлен алгоритм действий - 3 балла, видео пруф - 2, прочие (?) - 1 балл

Закончился STANDOFF 15. Для всех нас это был первый опыт, но считаю, что мы достойно себя показали и как итог все этого – заняли 4-ое место. Наши ближайшие соперники обогнали нас на несколько тысяч баллов, так что мы были близки к тому чтобы влететь в топ-3.

Конечно были приколы от организаторов, без этого никуда: уменьшение игрового времени на один час без предупреждения, стабильные падения инфры в первые дни и запрет на создание закрепление учеток pt* ))

Но масштабность и развесистость инфры приятно удивляет: веб (различный), linux, windows ad, docker, kubernetes, free ipa, ASTRA LINUX, андроид мобилки, scada, армкбр и может что-то ещё..

Надеюсь ещё соберемся на следующий STANDOFF :)

P.S – Жаль что никто из команд не залез в сегмент где было много НС под кубер .

P.P.S – возможно скоро сделаю разбор какого- нибудь недопустимого события под куб